Tietoturva ja sen merkitys

Haastatteluissa nousi esille tekijöitä kaikkiin yleisiin tietoturvatavoitteisiin, mm.

saatavuuteen, luottamuksellisuuteen ja eheyteen liittyen. Tietoturvatavoitteista eniten esille nousivat saatavuuden ja luottamuksellisuuden merkitys.

Varsinkin saatavuudella oli kriittinen merkitys, sillä tietojärjestelmät keskeisessä roolissa organisaatiossa ja niiden sisältävän tiedon tulisi olla käytet-tävissä tietoon perustuvan päätöksenteon mahdollistamiseksi. On kuitenkin huomattava, että potilaidenhoito ja muut tärkeät prosessit tulisi olla mahdollisia, vaikka tietojärjestelmät eivät olisi saatavilla. Lisäksi luottamuksellisuudella on tärkeä rooli tietosuojan varmistamisessa, joka on terveydenhuolto alalla määrätty laissa. Potilaisiin liittyvän tiedon tulisi pysyä salassa, ja tietoja tulisi käsitellä vain henkilöt, jotka ovat hoitosuhteessa potilaaseen. Esimerkiksi ORG3 kuvaili tieto-turvan merkitystä terveydenhuoltoalalla seuraavasti:

”Mä ajattelen sitä (tietoturvaa) kokonaisuutena missä on tietosuoja mukana, koska näitä ei voi tässä ajatuksessa tai tässä kokonaisuudessa erottaa, jos ajattelee sitä merki-tystä. … Yksi iso asia on se, että meidän asiakkaiden tiedot pysyy salassa tai luotta-muksellisena. Niihin pitää pystyä kaikkien meidän asiakkaiden luottamaan, että ne tiedot on turvassa, ne on oikeita ja muuttumattomia sen aikaa kun ne on siellä järjes-telmässä. Niihin ei pääse kiinni tai niitä ei käytetä muuten kuin jos on potilassuhde olemassa potilaaseen. ... koko sen elinkaaren ajan niitä käsitellään asianmukaisesti.

Tietoturvatoimilla me turvataan tätä ketjua - et se on se meidän ykkösjuttu.”

Tietoturvan nähtiin ORG1 tapauksessa toiminnan menestystekijänä:

”Se (tietoturva) on täysin sidoksissa meidän toimintaan ja on äärimmäisen tärkeä, koska täällä sosiaali- ja terveydenhuollossa potilastieto on lähtökohtaisesti salassa pi-dettävää, ja sitä saa nähdä vain henkilöt, jotka ovat hoitosuhteessa potilaaseen. Sen vuoksi tietoturva ja tietosuoja ovat yksi tärkeimmistä kriittisistä menestystekijöistä tällä toimialalla.”

Tietojärjestelmien kehityksen myötä myös tiedon turvaaminen on muuttunut terveydenhuollon organisaatioissa. ORG2 kuvaili tietoturvan terveydenhuolto puolella tapahtunutta muutosta järjestelmien ja tiedon osalta:

”Tiedot on aina ollut luonteeltaan sellaisia, että suurta muutosta ei sinällään järjestel-mien osalta tapahtunut. Potilaskertomustiedon käsittely pysynyt samanlaisena 30 vuoden takaa. … toiminnasta on tullut entistä säädellympää, ja järjestelmien merkitys on kasvanut toiminnassa ja sairaalatoiminta on tietojärjestelmien varassa, kun aiem-min se oli käteisdokumentointia. Toiaiem-minnasta tullut reaaliaikaista ja ilman tiedonke-räystä toiminta ei ole mahdollista. Lisäksi tiedot sähköisessä muodossa ja toiminnan kriittisyys on kasvanut eri tasolle, eli minkäänlaisia katkoja toiminnassa ei voi tapah-tua. Esimerkiksi jos mietitään 90-luvun takaisia tilanteita niin järjestelmät olivat erilli-siä, kun nykyisin järjestelmät mahdollistavat Internetin kautta uusia uhkia, jotka tulee ottaa huomioon toiminnassa - haittaohjelmat ovat olleet merkittävä uhkatekijä, ja In-ternet on tuonut ne uudelle tasolle”

Johdon merkitys tietoturvalle nousi esille kaikissa tapauksissa, mutta kaikissa or-ganisaatioissa ylemmän johdon nähtiin ymmärtävän tietoturvan merkitys toi-minnan kannalta ja suhtautuvan tietoturvaan myönteisesti. Kaikissa tapauksissa tietoturvaan nähtiin olevan käytössä riittävät resurssit. Muutamassa haastatte-lussa nousi esille, että tietoturvaan liittyvien tapahtumien ilmeneminen organi-saatiossa ja mediassa, on edesauttavan johdon kiinnostusta tietoturva kohtaan.

Esimerkiksi ORG2 nosti esille järjestelmissä tapahtuvat palvelukatkot:

"Sairaalassa saa aikaiseksi, kun menee ja tapahtuu palvelukatko. Ja pienemmätkin kat-kokset ovat sellaisia, että saa asioita tapahtumaan, ja saavat aikaan sen, että jotain olisi asialle tehtävä"

Toisaalta ORG3 nosti esille, että tietoturvan merkitystä ei aina ole täysin ymmär-retty, tai sen rooli on joissain tapauksissa epäselvä:

”Tietoturvallisuuden merkitys, sitä ei ole oikein ymmärretty … Mun omasta mielestä, vieläkään ei (tietoturvaa) täysin olla ymmärretty ja se nähdään enemmän teknisenä.

Nähdään vain niitä uhkia mitä TV:stä tai radiosta kuuluu, eli joku virus jossakin jyllää, vaikka virukset ovat talossa tuttuja, niin se ei ole sama asia ... Tiedot pitää pysyä jär-jestelmässä ja niihin on pääsy vain, jos niihin on tarve päästä ja järjestelmien on oltava aina saatavilla. ... Kaikki terveydenhuollon organisaatiot pitäisi perustaa siihen, että järjestelmien saatavuus on turvattu... Tietoturvan näkökulmasta se on aika haasteel-lista ja kaikkein vaikein toteuttaa. "

Haastateltava kuitenkin näki, että organisaatiossa on saatu aikaan tietoturvakult-tuuriin liittyvää muutosta, jossa johto on alkanut ymmärtämään, että vastuu tie-toturvasta on heillä.

Tapauksissa nousi esille vahvasti tietosuojan ja tietoturvan välinen suhde, jossa tietosuoja on osakokonaisuus tietoturvassa. Tietosuojalla on vakiin-tunut asema ja rooli terveydenhuollossa, ja tietosuojaan liittyviä vaatimuksia on määritetty Suomessa laissa potilastietojen suojaamaseksi ja varmistamiseksi.

Tästä johtuen organisaatioissa tietosuojaan ja tietoturvaan oli nimitettynä eri henkilöt, jotka työskentelivät yhteistyössä. Kaikissa tapauksissa tietoturvatoi-minnalla varmistettiin henkilötietojen käsittelyn turvallisuus.

Organisaatiot näkivät useita mahdollisia uhkatekijöitä tietoturvaan liittyen. Haastatteluissa nousi esille mahdollisia uhkalähteitä mm. henkilöstöön, lääkinnällisiin laitteisiin ja haittaohjelmiin liittyen. Kaikissa tapauksissa riskien-hallinta ja riskiarvio toimi pohjana tietoturvan kehitykselle ja prioriteettien aset-tamiselle. Kuten kirjallisuudessa riskienhallinta on hyvä keino kerätä ja arvioida liiketoimintaa uhkaavia tekijöitä niin organisaation toimintaympäristöstä kuin organisaation sisältä (Taylor 2015)

Esimerkiksi ORG1 nosti esille henkilöstöön liittyviä riskejä johtuen, muun muassa organisaation koosta:

”Yleisesti ottaen ihminenhän se heikoin lenkki näissä asioissa on. Se, että me saadaan 6000 hengen henkilöstö - lääketieteen ja hoitotieteen opiskelijat päälle noudattamaan niitä ohjeita ja määräyksiä mitä organisaatio on antanut.”

Myös ORG3 nosti esille henkilöstöön liittyviä uhkia

”Yksi iso uhka on myös, jos muistaa, että aika isoja sairaaloita on Suomessa, niin kun on tuhansia ihmisiä töissä ja kaikki käytännössä sähköpostia lukee. Niin on liian help-poa laittaa haitakkeita (haittaohjelmia) tulemaan liitteenä, ja edelleen on liian helphelp-poa.

Useissa sairaaloissa voi viedä laitteita, jotka eivät kuulu sinne ja saastuttavat sitä kautta verkkoa. … aika pitkälle tämä toiminta perustuu luottamukseen, mutta luotta-mus ei tarkoita sitä, että kaiken pitäisi olla kontrolloimatonta ja avointa, mutta pitäisi-hän tämän olla hallittua ja ehkä tässä on julkisella sektorilla aika paljon tekemistä.”

Tästä huolimatta kaikki tapaukset näkivät henkilöstön suhtautuvan tietoturvaan tietyllä vakavuudella ja uskoi henkilöstön ymmärtävän tietoturvan merkityksen organisaation toiminnalle. Ongelmallisiksi asiaksi esimerkiksi ORG1 näki kiirei-sen työn vaikutukkiirei-sen, josta johtuen henkilöstöllä on omia vaatimuksia, joihin tie-tohallinnon oli myös kyettävä vastaamaan tietoturvan varmistamiseksi:

”… totta kai haluaisivat (henkilöstö), että olisi nopeampaa ja helpompaa, kun järjestel-miä käytetään. … työasemalle kirjautuminen nähdään liian kauan kestäväksi asiaksi, ja tätä kautta tulee naputusta. Tietohallinnon tehtävä on helpottaa myös työtä tässä näkökulmassa - että myös tietoturva toteutuu.”

Tämä voi korostaa entisestään organisaatioiden kykyä muodostaa suotuisa tieto-turvakulttuuri organisaatioon. Lisäksi organisaatioiden tulisi varmistaa järjestel-mien käytettävyys siten, että henkilöstö ei kehitä omia strategioita työnmahdol-listamiseksi ja olemassa olevien tietoturvakontrollien kiertämiseksi. Henkilöstön arvojen huomioiminen tietoturvakontrollien valinnassa on tietoturvakirjallisuu-dessa ehdotettu keinoksi välttää tietoturvan ja ammatillisten arvojen ristiriita (Hedström ym. 2011).

Kuten jo haastateltaessa tietoturvan merkityksestä myös mahdolli-sista riskeistä puhuessa nousi esille saatavuuden merkitys, joissa jatkuvuuden-hallinnalla ja sen sisältämillä varautumisjärjestelmillä on tärkeä rooli. Esimer-kiksi ORG3 korosti riskien minimointia liittyen potilasturvallisuuteen:

”Me pyöritään täällä 24/7 ja sairaala on auki kaikki päivät vuodesta. Meillä on jatkuva miehitys talossa ja jatkuvasti asiakkaita sisään. Niin se ykkösasia on toki se potilastur-vallisuus. Eli kenenkään henki ei vaarannu tämän takia, että meillä jostakin tietotekni-sestä syystä tai toimimattomuudesta johtuen olisi tämmöinen riski.”

ORG3 nosti esille mahdollisia tulevaisuuden uhkia lääkinnällisiin laitteisiin ja ohjelmistoihin liittyen:

"Lääkintälaitteet on yksi iso asia ja niihin liittyvät haavoittuvuudet. ... lääkintälaite saa CE-merkinnän ennen kuin se voidaan ottaa käyttöön tai myydä, samoin kuin potilas-tietojärjestelmät tai kliinisentoiminnan järjestelmät. … CE-merkintä sinänsä ei tarkoita yhtään mitään (tietoturvan näkökulmasta): siellä ei ole kyberturvallisuuden vaatimuk-sia. Silloin kun CE-merkintä tehdään, se haetaan sille kokoonpanolle, joka on sillä het-kellä. Ja lääkintälaitevalmisteet, jotka voivat olla ohjelmistoja, niin ei niillä ole hinkua muuttaa sitä kokoonpanoa ja tehdä niitä päivityksiä, sillä se vaatisi uuden "rumban"

siihen CE-merkinnän ylläpitoon tai hakemiseen. Ja tämähän on sellainen asia, että ter-veydenhuollon kentässä näkee paljon vanhoja järjestelmiä ja sellaisia missä tänäkin päivänä voi pyöriä Windows XP ohjaamassa jotain tiettyä lääkinnällistä laitetta. Ja ei-hän siihen ole saanut päivityksiä enää niin kuin vuosiin. Ei siihen tule tietoturvapäivi-tyksiä, jos se ei ole ylläpidossa, eli ne täytyy suojata eri tavalla, eli esim. eristämällä verkosta. ”

Samaan asiaan liittyen ORG3 nosti esille teknologian mahdollistamat uhkat ja tarpeen tietoturvavaatimusten sisällyttämiselle CE-merkintään:

”… varsinkin digitalisaation kautta, jos niidenkin tulisi alkaa liikennöimään jonnekin pilvipalveluihin ja sitä kautta tänne muualle. Niin silloinhan niidenkin tulisi olla CE-merkinnän tai muun lainsäädännön piirissä, että niitä tulee päivittää. Niillekin tulisi olla kyberturvallisuuden vaatimukset.”

Tapauksista ORG1 oli ainut organisaatio, jossa tietoturvaan liittyviä tavoitteita oli mainittu suoraan liiketoimintastrategiassa. Tietoturva oli ilmaistu ICT:n ja sii-hen liittyvien palveluiden kehityksen rinnalla, pyrkien varmistamaan näiden jär-jestelmien saatavuus ja jatkuvuus. Organisaatio pyrki jatkuvaan kehitykseen, jossa käytettävät teknologiat pysyvät tietoturvan vaatimusten mukaisella tasolla.